Một nhóm tội phạm mạng được gọi là Vice Society đã được liên kết với nhiều chủng ransomware trong các chiến dịch độc hại nhằm vào lĩnh vực giáo dục, chính phủ và bán lẻ.
Nhóm Microsoft Security Threat Intelligence, đang theo dõi cụm mối đe dọa với biệt danh DEV-0832, cho biết nhóm này tránh triển khai ransomware trong một số trường hợp và có khả năng thực hiện tống tiền bằng cách sử dụng dữ liệu bị đánh cắp bị xâm nhập.
"Thay đổi tải trọng ransomware theo thời gian từ BlackCat, Quantum Locker và Zeppelin, tải trọng mới nhất của DEV-0832 là một biến thể Zeppelin bao gồm các phần mở rộng tệp dành riêng cho Vice Society, chẳng hạn như .v-s0ciety, .v-society và gần đây nhất là .locked," bộ phận an ninh mạng của gã khổng lồ công nghệ cho biết.
Vice Society, hoạt động kể từ tháng 6 năm 2021, đã được quan sát đều đặn mã hóa và thâm nhập dữ liệu nạn nhân, đồng thời đe dọa các công ty tiếp xúc với thông tin bị hút để gây áp lực buộc họ phải trả tiền chuộc.
"Không giống như các nhóm tống tiền kép RaaS (Ransomware-as-a-Service) khác, Vice Society tập trung vào việc xâm nhập vào hệ thống nạn nhân để triển khai các tệp nhị phân ransomware được bán trên các diễn đàn web Tối," công ty an ninh mạng SEKOIA cho biết trong một phân tích của nhóm vào tháng 7 năm 2022 năm .
Tác nhân đe dọa có động cơ tài chính được biết là dựa vào khai thác cho các lỗ hổng được tiết lộ công khai trong các ứng dụng đối mặt với internet để truy cập ban đầu, đồng thời sử dụng các tập lệnh PowerShell, các công cụ hợp pháp được tái sử dụng và các cửa hậu hàng hóa như SystemBC trước khi triển khai ransomware.
Các tác nhân của Vice Society cũng đã được phát hiện tận dụng Cobalt Strike để di chuyển bên, ngoài việc tạo các tác vụ theo lịch trình để duy trì và lạm dụng các lỗ hổng trong Windows Print Spooler (hay còn gọi là PrintNightmare) và Common Log File System (CVE-2022-24521) để leo thang đặc quyền.
"Các tác nhân của Vice Society cố gắng trốn tránh sự phát hiện thông qua việc giả mạo phần mềm độc hại và công cụ của họ làm tệp hợp pháp, sử dụng quy trình tiêm và có khả năng sử dụng các kỹ thuật trốn tránh để đánh bại phân tích động tự động", Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) cho biết vào tháng trước.
Trong một sự cố vào tháng 7 năm 2022 do Microsoft tiết lộ, tác nhân đe dọa được cho là đã cố gắng triển khai ban đầu các tệp thực thi QuantumLocker, chỉ để theo dõi nó với các tệp nhị phân ransomware Zeppelin bị nghi ngờ năm giờ sau đó.
Redmond chỉ ra: "Một sự cố như vậy có thể gợi ý rằng DEV-0832 duy trì nhiều tải trọng và công tắc ransomware tùy thuộc vào khả năng phòng thủ mục tiêu hoặc, cách khác, các nhà khai thác phân tán làm việc dưới sự bảo trợ của DEV-0832 có thể duy trì tải trọng ransomware ưa thích của riêng họ để phân phối. "
Trong số các công cụ khác được sử dụng bởi DEV-0832 là một cửa hậu dựa trên Go được gọi là PortStarter cung cấp khả năng thay đổi cài đặt tường lửa và cổng mở để thiết lập kết nối với các máy chủ lệnh và điều khiển (C2) được định cấu hình trước.
Vice Society, ngoài việc lợi dụng các tệp nhị phân sống ngoài đất liền (LOLBins) để chạy mã độc, cũng đã bị phát hiện đang cố gắng tắt Tính năng Chống vi-rút của Bộ bảo vệ Microsoft bằng các lệnh đăng ký.
Việc thâm nhập dữ liệu cuối cùng đạt được bằng cách khởi chạy tập lệnh PowerShell truyền thông tin nhạy cảm trên phạm vi rộng, từ tài liệu tài chính đến dữ liệu y tế, đến địa chỉ IP thuộc sở hữu của kẻ tấn công được mã hóa cứng.
Redmond chỉ ra thêm rằng nhóm tội phạm mạng tập trung vào các tổ chức có kiểm soát bảo mật yếu hơn và khả năng thanh toán tiền chuộc cao hơn, nhấn mạnh sự cần thiết phải áp dụng các biện pháp bảo vệ cần thiết để ngăn chặn các cuộc tấn công như vậy.
Microsoft cho biết: "Sự thay đổi từ cung cấp ransomware dưới dạng dịch vụ (RaaS) (BlackCat) sang phần mềm độc hại thuộc sở hữu hoàn toàn đã mua (Zeppelin) và biến thể Vice Society tùy chỉnh cho thấy DEV-0832 có mối quan hệ tích cực trong nền kinh tế tội phạm mạng và đã thử nghiệm hiệu quả tải trọng ransomware hoặc cơ hội tống tiền sau ransomware".